Condividi tramite

Configurare gli avvisi di Azure Key Vault

Dopo aver iniziato a usare Azure Key Vault per archiviare i segreti di produzione, è importante monitorare l'integrità del tuo Key Vault per assicurarsi che il tuo servizio funzioni come previsto.

Quando si inizia a ridimensionare il servizio, il numero di richieste inviate al Key Vault aumenterà. Questo aumento può aumentare la latenza delle richieste. In casi estremi, può causare la limitazione delle richieste e influire sulle prestazioni del servizio. È anche necessario sapere se il tuo archivio di chiavi invia un numero anomalo di codici di errore, in modo da poter gestire velocemente eventuali problemi con una politica di accesso o una configurazione del firewall.

Questo articolo illustra come configurare gli avvisi a soglie specificate in modo da poter avvisare il team di intervenire immediatamente se il Key Vault è in uno stato critico. È possibile configurare avvisi che inviano un messaggio di posta elettronica (preferibilmente a una lista di distribuzione del team), attivano una notifica di Griglia di eventi di Azure oppure chiamano o inviano un SMS a un numero di telefono.

È possibile scegliere tra questi tipi di avviso:

  • Avviso statico basato su un valore fisso
  • Avviso dinamico che invierà una notifica se una metrica monitorata supera il limite medio dell'insieme di credenziali delle chiavi per un determinato numero di volte entro un intervallo di tempo definito

Importante

Possono essere necessari fino a 10 minuti prima che gli avvisi appena configurati inizino a inviare notifiche.

Questo articolo è incentrato sugli avvisi per Key Vault. Per informazioni su Key Vault Insights, che combina sia log che metriche per fornire una soluzione di monitoraggio complessiva, vedere Monitoraggio del proprio Key Vault con Key Vault Insights.

Configurare un gruppo di azioni

Un gruppo di azioni è un elenco configurabile di notifiche e proprietà. Il primo passaggio per la configurazione degli avvisi consiste nel creare un gruppo di azioni e scegliere un tipo di avviso:

  1. Accedere al portale di Azure.

  2. Cercare Avvisi nella casella di ricerca.

  3. Selezionare Gestisci azioni.

    Screenshot che evidenzia il pulsante Gestisci azioni.

  4. Selezionare + Aggiungi gruppo di azioni.

    Screenshot che evidenzia il pulsante per l'aggiunta di un gruppo di azioni.

  5. Scegliere il valore Tipo di azione per il gruppo di azioni. In questo esempio verrà creato un messaggio di posta elettronica e un avviso SMS. Selezionare Posta elettronica/SMS/Push/Voce.

    Screenshot che evidenzia le selezioni per l'aggiunta di un gruppo di azioni.

  6. Nella finestra di dialogo immettere i dettagli di posta elettronica e SMS e quindi selezionare OK.

    Screenshot che mostra le selezioni per l'aggiunta di un messaggio di posta elettronica e un avviso tramite messaggio S M S.

Configurare le soglie di avviso

Creare quindi una regola e configurare le soglie che attiveranno un avviso:

  1. Nel portale di Azure, selezionare la risorsa di Key Vault e quindi selezionare Avvisi in Monitoraggio.

    Screenshot che mostra l'opzione di menu Avvisi nella sezione Monitoraggio.

  2. Selezionare Nuova regola di avviso.

    Screenshot che mostra il pulsante per l'aggiunta di una nuova regola di avviso.

  3. Selezionare l'ambito della regola di avviso. È possibile selezionare un singolo insieme di credenziali o più insiemi di credenziali.

    Importante

    Quando si selezionano più insiemi di credenziali per l'ambito degli avvisi, tutti gli insiemi di credenziali selezionati devono trovarsi nella stessa area. È necessario configurare regole di avviso separate per gli insiemi di credenziali in aree diverse.

    Screenshot che mostra come selezionare un insieme di credenziali.

  4. Selezionare le soglie che definiscono la logica per gli avvisi e quindi selezionare Aggiungi. Il team di Key Vault consiglia di configurare le soglie seguenti per la maggior parte delle applicazioni, ma è possibile modificarle in base alle esigenze dell'applicazione:

    • La disponibilità di Key Vault scende al di sotto del 100% (soglia statica)

    Importante

    Attualmente, questo avviso include in modo non corretto le operazioni a esecuzione prolungata e le segnala come se il servizio fosse non disponibile. È possibile monitorare i log di Key Vault per verificare se le operazioni hanno esito negativo a causa dell'indisponibilità del servizio

    • La latenza di Key Vault è maggiore di 1000 ms (soglia statica)

    Annotazioni

    L'intenzione della soglia di 1000 ms consiste nel notificare che il servizio Key Vault in questa area ha un carico di lavoro superiore alla media. Il nostro SLA per le operazioni di Key Vault è molte volte migliorato, vedere il Contratto di servizio per i servizi online per l'SLA attuale. Per avvisare quando le operazioni di Key Vault non rientrano nel contratto di servizio, usare le soglie dei documenti del contratto di servizio.

    • La saturazione complessiva del vault è maggiore del 75% (soglia statica)
    • La saturazione complessiva dell'insieme di credenziali supera la media (soglia dinamica)
    • I codici di errore totali sono superiori alla media (soglia dinamica)

    Screenshot che mostra dove si selezionano le condizioni per gli avvisi.

Esempio: Configurare una soglia di avviso statica per la latenza

  1. Selezionare Latenza complessiva dell'API del servizio come nome del segnale.

    Screenshot che mostra la selezione di un nome di segnale.

  2. Usare i parametri di configurazione seguenti:

    • Impostare Soglia su Statica.
    • Impostare Operatore su Maggiore di.
    • Impostare Tipo di aggregazione su Media.
    • Impostare Valore soglia su 1000.
    • Impostare Granularità aggregazione (periodo) su 5 minuti.
    • Impostare Frequenza di valutazione su Ogni 1 minuto.

    Screenshot che mostra la logica configurata per una soglia di avviso statica.

  3. Selezionare Fine.

Esempio: Configurare una soglia di avviso dinamica per la saturazione dell'insieme di credenziali

Quando si usa un avviso dinamico, è possibile visualizzare i dati cronologici dell'insieme di credenziali delle chiavi selezionato. L'area blu rappresenta l'utilizzo medio dell'insieme di credenziali delle chiavi. L'area rossa mostra picchi che avrebbero attivato un avviso se sono stati soddisfatti altri criteri nella configurazione dell'avviso. I punti rossi mostrano le istanze di violazioni in cui i criteri per l'avviso sono stati soddisfatti durante l'intervallo di tempo aggregato.

Screenshot che mostra un grafico della saturazione complessiva dell'insieme di credenziali.

È possibile impostare un avviso da attivare dopo un determinato numero di violazioni entro un determinato periodo di tempo. Se non si vogliono includere dati passati, è possibile escluderli nelle impostazioni avanzate.

  1. Usare i parametri di configurazione seguenti:

    • Impostare Nome dimensione su Tipo di transazione e Valori delle dimensioni su vaultoperation.
    • Impostare Soglia su Dinamica.
    • Impostare Operatore su Maggiore di.
    • Impostare Tipo di aggregazione su Media.
    • Impostare Sensibilità soglia su Medio.
    • Impostare Granularità aggregazione (periodo) su 5 minuti.
    • Impostare Frequenza di valutazione su Ogni 5 minuti.
    • Configurare le impostazioni avanzate (facoltativo).

    Screenshot che mostra la logica configurata per una soglia di avviso dinamica.

  2. Selezionare Fine.

  3. Selezionare Aggiungi per aggiungere il gruppo di azioni configurato.

    Screenshot che mostra il pulsante per l'aggiunta di un gruppo di azioni.

  4. Nei dettagli dell'avviso abilitare l'avviso e assegnare una gravità.

    Screenshot che mostra dove abilitare l'avviso e assegnare una gravità.

  5. Creare l'avviso.

Esempio di avviso di posta elettronica

Se hai seguito tutti i passaggi precedenti, riceverai avvisi email quando il tuo archivio di chiavi soddisfa i criteri di avviso che hai configurato. L'avviso di posta elettronica seguente è un esempio.

Screenshot che evidenzia le informazioni necessarie per configurare un avviso di posta elettronica.

Esempio: Avviso di query di log per i certificati prossimi alla scadenza

È possibile impostare un avviso per notificare i certificati che stanno per scadere.

Annotazioni

Gli eventi di scadenza prossimi per i certificati vengono registrati 30 giorni prima della scadenza.

  1. Passare a Log e incollare la query seguente nella finestra di query

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Selezionare Nuova regola di avviso

    Screenshot che mostra la finestra di query con la nuova regola di avviso selezionata.

  3. Nella scheda Condizione usare la configurazione seguente:

    • In Misurazione impostare granularità aggregazione su 1 giorno
    • In Divisione per dimensioni impostare la Colonna ID risorsa su ResourceId.
    • Impostare CertName e DayTillExpire come dimensioni.
    • In Logica di avviso impostare Valore soglia su 0 e Frequenza di valutazione su 1 giorno.

    Screenshot che mostra la configurazione della condizione di avviso.

  4. Nella scheda Azioni configurare l'avviso per l'invio di un messaggio di posta elettronica

    1. Selezionare Crea gruppo di azioni

      Screenshot che mostra come creare un gruppo di azioni.

    2. Configurare crea gruppo di azioni

      Screenshot che mostra come configurare il gruppo di azioni.

    3. Configurare le notifiche per l'invio di un messaggio di posta elettronica

      Screenshot che mostra come configurare la notifica.

    4. Configurare Dettagli per attivare l'avviso

      Screenshot che mostra come configurare i dettagli delle notifiche.

    5. Selezionare Revisiona e crea

Passaggi successivi

Usare gli strumenti configurati in questo articolo per monitorare attivamente l'integrità dell'insieme di credenziali delle chiavi:

  • Last updated on